前言
今天突然想到一个问题,在实际渗透工程中,往往主机防火墙策略会配置入站规则,而出站规则是默认允许的。这时候受控主机主动访问攻击机,与攻击机建立连接后回传的六i狼不会被入站规则拦截吗?
测试
防火墙设置入站规则为程序
通过设置firefox或者nc入站规则为所有端口,所有情况均为阻止连接。发现正常的nc监听端口,远程nc连接是无法建立。但是本地主动连接,回传的流量数据能接收到。
最后测试了20分钟,发现入站规则并不会对你主动连接过去回传的数据流量进行阻止和限制。
结论
跟云哥说了这个问题,得出结论是,回传的流量应该是属于建立连接后收到的数据。而入站规则的阻止连接应该是对于建立TCP连接前,是由发起者决定,如果建立连接的发起者是自己,入站规则不会拦截建立连接后的回传流量。而如果发起者是远程主机,建立连接的是远程主机的话,防火墙会直接中断连接,本地主机也收不到远程主机的建立连接的请求了